RiLi-Schwachstellenmanagement: Unterschied zwischen den Versionen

Mustervorlage: "Richtlinie Schwachstellenmanagement"

Einleitung

Diese IT-Sicherheitsrichtlinie für das Schwachstellenmanagement (Vulnerability Management) ist ein wichtiger Baustein, um die IT-Systeme und Daten der Organisation vor Bedrohungen zu schützen. Diese Richtlinie legt fest, wie die Organisation Schwachstellen in ihren Systemen identifiziert, bewertet und beseitigt.

Geltungsbereich

Diese Richtlinie gilt für alle IT-Systeme der Organisation.

Zielsetzung

Durch die Umsetzung der IT-Sicherheitsrichtlinie zum Schwachstellenmanagement stellt die Organisation sicher, dass ihre IT-Systeme und Daten bestmöglich vor Bedrohungen geschützt sind und Schwachstellen schnell und effektiv behoben werden.

Gesetzliche Rahmenbedingungen

Die Organisation muss sicherstellen, dass die geltenden gesetzlichen Bestimmungen und Standards im Bereich der IT-Sicherheit und des Datenschutzes eingehalten werden. Zu beachten sind unter anderem

• Die Datenschutzgrundverordnung (DSGVO) regelt den Schutz personenbezogener Daten in der Europäischen Union und legt fest, wie personenbezogene Daten verarbeitet werden dürfen, aber auch wann und wie Vorfälle gemeldet werden müssen.
• Das IT-Sicherheitsgesetz regelt sicherheitsrelevante Aspekte der Informationstechnik für kritische Infrastrukturen. Es schreibt vor, dass Unternehmen angemessene technische und organisatorische Maßnahmen ergreifen müssen, um ihre IT-Systeme zu schützen und Sicherheitsvorfälle zu verhindern.
• ISO/IEC 27001 ist ein internationaler Standard, BSI IT-Grundschutz ein deutscher Standard für Informationssicherheitsmanagement.

Verantwortliche

Beschreibung, welche Bereiche der Organisation für die Identifizierung und Bearbeitung von Schwachstellen verantwortlich sind. Die Verantwortlichkeiten können zentral (z.B. ein SOC) oder dezentral (im Betrieb) organisiert sein.

Schwachstellenidentifikation

Hier sollte beschrieben werden, wie die Organisation Schwachstellen identifiziert.z.B.:

Arten von Schwachstellen

In der Organisation kann es verschiedene Arten von Schwachstellen geben, die auf unterschiedliche Weise erkannt und behandelt werden müssen:

Personelle Schwachstellen

Die Mitarbeitenden der Organisation können ein Risiko für die IT-Sicherheit darstellen.

• Da Menschen für den manuellen Betrieb der IT-Systeme und Anwendungen der Organisation verantwortlich sind, kann eine Vielzahl von Risiken allein durch menschliches Versagen entstehen. So können beispielsweise unvollständige Dokumentation, unzureichende Schulung, die fehlerhafte Konfiguration oder Ausführung von Verfahren im Unternehmen zu Problemen führen.
• Inselwissen, das nur in den Köpfen einzelner Mitarbeitenden existiert, kann zum Problem werden, wenn die betroffenen Mitarbeitenden plötzlich ausfallen oder die Organisation verlassen.
• Fehlende Sensibilisierung führt zu Anfälligkeit der Mitarbeitenden für Phishing-, Maleware- und Social Engineering-Angriffe.
• Zu den personellen Schwachstellen gehört auch das Risiko, dass durch die Kopie/Verlagerung wichtiger Organisationsdaten auf lokale Geräte der Mitarbeitenden entsteht. Im Bedarfsfall sind die Daten ggf. nur noch auf einem externen Gerät gespeichert und es besteht die Gefahr, dass sie verloren gehen oder in falsche Hände geraten.

Physische Schwachstellen

Die elementarsten Arten von Schwachstellen sind physische Schwachstellen. Dies kann z.B sein:

• Mangelnder Schutz gegen Umwelteinflüsse (Wasser, Feuer, Staub, ...),
• lokale Schwachstellen in der Versorgung (Stromversorgung, Klimatisierung, Netzzugang, ...),
• mangelnder Schutz gegen schädliche physische Bedrohungen (Einbruch, Diebstahl, Vandalismus, ...).

Schwachstellen in Anwendungen

Bei der Erstellung und Verbesserung von Computerprogrammen können Fehler und Schwachstellen entstehen. Diese Programmschwachstellen und Fehler können von Angreifern ausgenutzt werden oder zu Ausfällen führen.

Schwachstellen in der Konfiguration

Konfigurationsschwachstellen sind Risiken für ein IT-System aufgrund von Fehlkonfigurationen. Fehlkonfigurationen können fehlerhafte oder unzureichende Standardeinstellungen oder technische Probleme sein, die das System unsicher machen.

Quellen

In der Organisation werden folgende Quellen für die Identifikation von Schwachstellen genutzt.

Meldung durch Mitarbeitende

Insbesondere personelle und physische Schwachstellen können nur durch aktive Beteiligung und Wahrnehmung der Mitarbeitenden der Organisation erkannt werden. Jeder Mitarbeitende ist ausdrücklich aufgefordert erkannte Schwachstellen zu melden. Bei personellen Schwachstellen geht es dabei ausdrücklich nicht um die Pflege von Denunziantentum. Hier können Kolleg(inn)en auch direkt angesprochen werden oder erkannter Sensibilisierungsbedarf anonym (ohne Nennung von Betroffenen) gemeldet werden. Jeder persönlich angesprochene Mitarbeitende sollte dabei offen für Verbesserungsvorschläge sein und dies -im Sinne der offenen Kommunikation- nicht als persönliche Kritik interpretieren.

Die Meldung von erkannten physischen Schwachstellen oder die Meldung von anonymisierten personellen Schwachstellen erfolgt über (...Beschreibung der Meldewege, z.B.: Webformular, Ticketsystem, Email-(Funktions-)Postfach...)

Auswertung von CERT-Meldungen

Die Organisation bezieht CERT-Meldungen vom Warn- und Informationsdienst vom CERT-Bund (https://wid.cert-bund.de/portal/wid/start) als Informationsbasis für bekannte Schwachstellen. (ggf. andere oder weitere CERT-Quellen benennen)

Die CERT-Meldungen werden anhand der betroffenen Produkte und Software automatisiert an die zuständigen Verantwortlichen verteilt.

Regelmäßige Schwachstellen-Scans

Das Security Operation Center (SOC) der Organisation führt mindestens vierteljährlich in Abstimmung mit dem Betrieb einen systematischen Schwachstellenscan aller IT-Systeme der Organisation durch. Darüber hinaus werden bei Bedarf, z.B. bei neuen Anwendungen oder erhöhter Risikolage, zusätzliche Scans durchgeführt. Die Ergebnisse der Scans sind zu dokumentieren. Die Dokumentation erfolgt so, dass ein Vergleich mit den Ergebnissen früherer Scans möglich ist und diese systematisch (nicht personenbezogen) ausgewertet werden können.

Schwachstellenbewertung

Die Richtlinie sollte festlegen, wie Schwachstellen bewertet werden, um ihre Auswirkungen auf das Unternehmen zu bestimmen. Hierbei kann es sich um die Kategorisierung von Schwachstellen nach Schweregrad oder die Bewertung der Auswirkungen auf die Geschäftsprozesse handeln.

CVSS und Relevanz für Oganisation -> rot, gelb, blau

Schwachstellenpriorisierung

Die Richtlinie sollte festlegen, wie Schwachstellen priorisiert werden, um sicherzustellen, dass die wichtigsten Schwachstellen zuerst behoben werden.

Schwachstellenbeseitigung

Die Richtlinie sollte festlegen, wie Schwachstellen beseitigt werden. Hierbei kann es sich um die Implementierung von Patches, die Aktualisierung von Systemen oder die Umsetzung von Workarounds handeln.

Überwachung

Die Richtlinie sollte festlegen, wie das Unternehmen den Fortschritt beim Schwachstellenmanagement überwacht, um sicherzustellen, dass Schwachstellen zeitnah und effektiv behoben werden.

Schulung

Die Richtlinie sollte sicherstellen, dass die Mitarbeiter des Unternehmens angemessen geschult sind, um Schwachstellen zu identifizieren und zu melden, um einen effektiven Schutz der IT-Systeme und Daten zu gewährleisten.

Schulung SOC

Extra Budget, externe Schulung, externer Coach für Einrichtung...

Schulung Verantwortliche

interne Schulung für Fachverantwortliche zum Umgang mit CERT-Meldungen.

Schulung Mitarbeitende

Schulung und Sensibilisierung der MA.

Incident Response

Die Richtlinie sollte einen Plan für den Umgang mit Sicherheitsvorfällen enthalten, um sicherzustellen, dass das Unternehmen schnell und angemessen auf Schwachstellen und Bedrohungen reagieren kann.

Schlussbemerkung

Inkrafttreten

Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung